GreekEnglish (United Kingdom)

Social networks

free-wifi.gr on facebook

 

 

 


free-wifi.gr on facebook

 

 

 

 

free-wifi.gr on twitter

Έχουμε 197 επισκέπτες συνδεδεμένους
Domain experts papaki.gr
Λύση για το πρόβλημα ασφαλείας του Firesheep

Το Firesheep είναι ένα πρόσθετο του Firefox που δίνει την δυνατότητα σε οποιονδήποτε να υποκλέψει τα cookies άλλων χρηστών που συνδέονται από το ίδιο δημόσιο wifi hotspot.

 

Με ένα απλό κλικ, αποκτά κανείς πλήρες πρόσβαση στο προφίλ άλλων σε διαδικτυακές υπηρεσίες όπως το Facebook, Twitter, Google, Flickr, κτλ.

 

Σε λίγες μονάχα μέρες ύστερα απο την κυκλοφορία του, έχει αποκτήσει τεράστια δημοσιότητα παγκοσμίως. Στις πρώτες 24 ώρες έγιναν 130 000 λήψεις του Firesheep. 

firesheep security wakeup

Το Firesheep δημιουργήθηκε για να δώσει έμφαση στην προβληματική προσέγγιση που ακολουθούν οι ιστοσελίδες στα θέματα ασφαλείας. Ο σκοπός του Firesheep είναι η επιτάχυνση των αλλαγών που θα φέρουν την τελική πτώση του ιδίου!

 

Η ευκολία με την οποία παραβιάζεται ο λογαριασμός ένος άλλου χρήστη είναι συγκλονιστική. Γι' αυτό και επικρατεί χαμός σε δημοσιεύματα μπλογκ και κοινωνικών δικτύων για την νέα εφαρμογή. Ορισμένοι φτάνουν σε σημείο να αποκαλούν το τέλος του free wifi (!).

 

Απ' ότι φαίνεται, λίγοι είναι αυτοί που αναφέρουν την σχετικά εύκολη λύση στο πρόβλημα αυτό: WPA passwords. Έτσι τουλάχιστον μας λέει ο Steve Gibson.

 

Το πρόβλημα = http


Οι περισσότερες σελίδες κάνουν χρήση ασφαλής κρυπτογράφησης “https” μόνο κατά την διάρκεια της εισόδου στην υπηρεσία, δηλαδή κατά την διάρκεια εισαγωγής κωδικού ασφαλείας, και όχι σε όλες τις υπόλοιπες σελίδες.

Η εισαγωγή του κωδικού έχει σαν αποτέλεσμα την δημιουργία κάποιον “cookies” στον περιηγητή του χρήστη. Τα “cookies” είναι αυτά που “υπενθυμίζουν” στην εφαρμογή πως ο τάδε χρήστης είναι συνδεδεμένος και έτσι παρέχεται η αντίστοιχη πληροφορία/σελίδα.

Με την χρήση του Firesheep  γίνεται η “απαγωγή” των προσωπικών cookies των άλλων, επιτρέποντας την περιήγηση σε ξένους λογαριασμούς.

Το πρόβλημα αυτό μόνο καινούργιο δεν είναι. Αυτό μπορούσε να συμβεί ανέκαθεν, από άτομα με τις ανάλογες τεχνικές γνώσεις, μόνο που τώρα οποιασδήποτε ξέρει να χειρίζεται έναν υπολογιστή μπορεί να το κάνει. Έχοντας ρίξει το επίπεδο δυσκολίας της υποκλοπής σε τέτοιο μεγάλο βαθμό τίθεται ένα αρκετά σοβαρό ζήτημα ασφαλείας σε δημόσια wifi hotspots ( που δεν χρησιμοποιούν κωδικούς ασφαλείας σε συνδυασμό με WPA προστασία.)

Οι εντυπωσιακές ταχύτητες με τις οποίες μεταφορτώνεται το νέο πρόσθετο  “εργαλείο” για Firefox, καθιστά την εφαρμογή της παρακάτω λύσης αναγκαία για όλους όσους διαχειρίζονται ένα δημόσιο  wifi hotspot (και δεν το έχουν πράξει ακόμη).

 

Αξίζει να σημειωθεί οτι το Firesheep μπορεί να υποκλέψει στοιχεία μόνο απο μια λίστα προ-επιλεγμένων (απο τον δημιουργό του) σελίδων κι όχι απ' οποιαδήποτε ιστοσελίδα. Η λίστα αυτή στοχεύει τους δημοφιλέστερους ιστοτόπους του διαδικτύου.

 

WPA η (μερική) λύση  για διαχειριστές δικτύου


Όπως μας πληροφορεί ο Steve Gibson, εφόσον γίνει χρήση ενός κωδικού ασφαλείας με κρυπτογράφηση WPA για την είσοδο μας σε κάποιο wifi hotspot, ο κίνδυνος αποτρέπεται σε μεγάλο βαθμό.

Σε αυτήν την περίπτωση, κάθε χρήστης που εισέρχεται στο δίκτυο wifi αποκτά έναν προσωπικό αριθμό συνεδρίας (“session key”) κι ας χρησιμοποιούν όλοι τον ίδιο κωδικό πρόσβασης για το hotspot ( πχ: “free”). Αυτό το απλό βήμα εγγυάται σε πολύ μεγάλο βαθμό την προστασία των χρηστών, αποτρέποντας την “επικοινωνία μεταξύ χρηστών του δικτύου.

 

 

Η κρυπτογράφηση (παλαιού) τύπου WEP δεν είναι ασφαλής σε αυτήν τη περίπτωση, αλλα και γενικότερα καθώς “σπάει” πολύ πιο εύκολα. Ο δημιουργός του Firesheep, Eric Butler, μας θυμίζει πως και το WPA σπάει, με την χρήση άλλων εργαλείων, αλλά τουλάχιστον οχι με το Firesheep.

 

 

Η (μερική) λύση για χρήστες δικτύου

 

Τέλος, για την προστασία μας στην χρήση δημόσιων hotspots o Butler προτείνει:

 

  • Την χρήση του https-everywhere ένα πρόσθετο του Firefox που προτρέπει τον περιηγητή να χρησιμοποιεί https συνεχώς για ορισμένες προ-επιλεγμένες γνωστες ιστοσελίδες. όπου είναι τεχνικά εφικτό.
  • Την χρήση του Force-TLS ένα πρόσθετο του Firefox που επιτρέπει στον περιηγητή να χρησιμοποιεί SSL, όπου είναι τεχνικά εφικτό. Πολλές σελίδες προσφέρουν την δυνατότητα αυτή αλλά δεν την εφαρμόζουν κατάλληλα, με αποτέλεσμα να μην την αξιοποιούν οι χρήστες. Στην έκδοση 4.0 Beta του Firefox η βασική λειτουργία είναι ήδη ενσωματωμένη.

 

Αν και δεν λειτουργούν με όλες της ιστοσελίδες είναι δύο πολύτιμα εργαλεία για κάθε περιηγητή.

https-everywhere


 

Δειτε επίσης το (στα Αγγλικά)

http://codebutler.com/firesheep-three-weeks-later-fallout

 

Μεταφρασμένο στα Ελληνικά (google translate)

 
© 2008-2013 free-wifi.gr | Creative Commons License | Template by vonfio.de | Proudly hosted by Papaki.gr